Hetzner Sperrung durch IP Spoofing

Hallo,
erstmal danke für eure Rückmeldung auf unseren Beitrag und die Unterstützung. Wir werden in der letzten Zeit häufiger bei Hetzner gesperrt mit der Begründung, dass wir IP-Adressen nutzen, die nicht dem Host zugeordnet sind. Durch dieses Spoofing der IP-Adressen werden teilweise einzelne IPs, manchmal aber auch der komplette Host gesperrt durch die Deaktivierung des Switch Ports. Ihr hattet geschrieben, dass ihr das Problem auch schon hattet, dass es sich um ICMP-Traffic handelt und dass es durch iptables-Regeln gelöst wurde.
In unserem Fall sind es UDP- und TCP-Pakete, die in dem Log-Auszug aufgeführt werden. Könntet ihr eure Regeln, die ihr angewandt habt, zur Verfügung stellen? Wenn ihr weitere Infos braucht gerne Bescheid sagen.
Danke und schönen Gruß
Jan

Hallo Jan,

Das ist die Regel die wir auf unseren Gateways eingefügt haben.

Die Lösung ist nur Quick and Dirty aber war die einfachste und schnellste Lösung in dem Moment.

Die Ursache bei uns ist wohl das Traffic mit der FFRL IP der eigentlich durch die Tunnel zum FFRL genattet werden sollte aus der eth0 zu Hetzner fällt. Warum das so ist haben wir noch nicht ergründen können aber vielleicht ist das bei euch ein ähnliches Problem.

Aufgefallen ist das bei einem Gateway dessen VM uns zur Verfügung gestellt wird. Auf dem Blech läuft Windows als Hypervisor. Unsere eigenen Bleche laufen alle mit Ubuntu/Debian und da scheint das Problem nicht auf zu treten da anders als bei dem Windows Hypervisor die falschen Pakete wohl in der Bridge zum Host hängen bleiben.

Scheinbar hat Hetzner da sein Monitoring auf gebohrt das da plötzlich so Probleme auftauchen…

Hi,
danke für die schnelle Reaktion. Ich habe es in unserem Setup mal erweitert, hoffen wir mal dass es hilft.
Danke und schönen Gruß
Jan